Internetrecht door Arnoud Engelfriet

geralt / Pixabay

Het Openbaar Ministerie wil dat het makkelijker wordt om klantgegevens en andere informatie op te vragen van bedrijven die serverruimte in Nederland doorverhuren. Dat las ik bij Security.nl. Men citeert hightechcrime-officier Esther Baars in OM-bedrijfsblad Opportuun die signaleert dat cybercriminelen vaak servers van Nederlandse datacentra gebruiken met tussenkomst van een reseller. Optreden daartegen vereist een rechtshulpverzoek, terwijl de data gewoon hier in Nederland staat. “Dat is werkelijk idioot”.

Baars legt uit waar de kern van het probleem zit:

Vaak gebruiken [cybercriminelen] servers van datacentra in Nederland. Zo’n datacenter verhuurt een server aan een tussenpersoon, een ‘reseller’. Dat mag gewoon. En die reseller verhuurt dan die serverruimte in Nederland weer door aan zijn eigen klanten. Dat maakt het voor ons ingewikkeld om verdachte klanten op te sporen.

Het punt is natuurlijk, bij zo’n gewone kast in een opslagbox kun je een slotenmaker meenemen en het ding openmaken, of je neemt hem (de kast, niet de slotenmaker) mee naar het bureau om daar rustig na te gaan wat er in zit. Bij een digitale kast, de vps van de klant van een reseller, is dat een stuk complexer:

[Dan] is het niet onmogelijk om een kopie te maken, maar kan dat kopiëren schade veroorzaken voor onbekende klanten die die server ook gebruiken maar niks met de criminaliteit te maken hebben. … [O]nze wet is zo ingericht dat we dan eigenlijk rechtshulpverzoeken moeten doen om die gegevens te krijgen. Dat is werkelijk idioot, want het is gewoon data die in Nederland staat en de plaats delict is dus gewoon Nederland.

Ja, ik kan me ook niet direct voorstellen dat dezelfde reseller én een berg pittige cybercriminelen én Alipay Nederland als klant heeft, maar dit is het voorbeeld dat men noemt dus dat zal ergens op gebaseerd zijn. Maar goed ook als het gaat om gewoon een doorsnee gamingdienst of betaald forum, je dupeert een onschuldige ondernemer enkel omdat die bij dezelfde reseller wat afneemt als een crimineel.

De reseller kan gericht servers afsluiten of kopieën helpen maken, maar die is daar zelden toe bereid zonder bevel van de lokale overheid, vandaar die route van het rechtshulpverzoek. En dat gaat inderdaad vaak traag, als men in zo’n land al bereid is om überhaupt iets te doen tegen een reseller wiens klanten in dat land geen directe rottigheid uithalen.

Wat dan wel?

De reseller [weet precies] waar wij moeten zijn. Het zou zo logisch zijn als we de Nederlandse partij kunnen verplichten die exacte locatie te achterhalen en aan ons door te geven.

Een lastige is, hoe dwing je resellers om dit te doen. Je komt dan al snel bij administratieve procedures uit, zoals dat de hoster moet kunnen meekijken in het VPS controlepaneel maar dan zonder de overige, commercieel zeer interessante, gegevens over de klanten. Of dat de hoster een beperkte set informatie krijgt maar wel moet kunnen nagaan dat dat overeenkomt met de werkelijke configuratie. Het kan allemaal maar praktisch is anders.

Arnoud

Mediabedrijf DPG Media heeft van de Autoriteit Persoonsgegevens een boete van 525.000 euro gekregen voor het onnodig opvragen van een identiteitsbewijs van mensen die hun gegevens wilden inzien of laten verwijderen. Dat meldde Security.nl onlangs. Eindelijk eens werk gemaakt dus van de luie en ergerlijke praktijk om altijd maar een ID te vragen in plaats van na te denken hoe je betrokkenen identificeert.

De boete is voor DPG Media, maar de overtreding komt van mediabedrijf Sanoma voordat dit door DPG werd overgenomen. De AP legt uit:

Wie wilde weten welke persoonsgegevens Sanoma en DPG Media bijhielden, of gegevens wilde laten wissen, moest eerst een identiteitsbewijs uploaden of opsturen. Deze mensen werden er bovendien bij het digitaal versturen van het identiteitsbewijs niet door Sanoma en DPG Media op gewezen dat zij gegevens daarvan mochten afschermen. Het ging om klanten van DPG Media die geen online account hadden aangemaakt bij DPG Media.

Onzin natuurlijk, er zijn heel veel betere manieren om na te gaan wie je tegenover je hebt. Zeker als dat op afstand is. Sterker nog, een kopie identiteitsbewijs via de mail krijgen bewijst helemaal niets over wie je tegenover je hebt, hooguit dat deze persoon toegang had tot die kopie ID. Een verificatiemail sturen naar het bekende, geregistreerde adres (of een code per sms naar het bekende nummer) van de klant is bijvoorbeeld al veel slimmer als we het hebben over online klanten.

DPG hield het makkelijk voor zichzelf:

De AP heeft in hoofdstuk 2 vastgesteld dat DPG buiten de inlogomgeving van accounts altijd om een kopie van een identiteitsbewijs verzocht. DPG deed dit verzoek ongeacht welke (contact)informatie bij DPG beschikbaar was over de betrokkene en zonder rekening te houden met de aard en hoeveelheid persoonsgegevens waarvan inzage of wissing werd gevraagd. De werkwijze van DPG was voorts zo ingericht dat als een kopie van het identiteitsbewijs door de betrokkene niet werd verstrekt, het verzoek om inzage of wissing om die reden niet (verder) in behandeling werd genomen. Indien de betrokkene wel een kopie van het identiteitsbewijs verstrekte, dan had dat tot gevolg dat DPG onnodig veel gevoelige gegevens aan het verwerken was (zoals het Burgerservicenummer).

Natuurlijk, sóms kan het nodig zijn om extra informatie op te vragen om iemands identiteit te verifiëren. En een kopie identiteitsbewijs kan daar bij passen. Maar niet als standaard eerste stap. Dus ik hoop dat dit een mooie wake-up call is voor andere bedrijven die standaard om een identiteitsbewijs vragen.

Arnoud

Agenten van het politiekorps van de Amerikaanse stad Los Angeles hebben instructies gekregen om van elke burger die ze spreken de socialmedia-accounts en e-mailadressen te noteren, ook als er geen verdenking van een misdrijf is. Dat meldde Security.nl vorige week. Diverse lezers vroegen me of de Nederlandse politie dat ook zou mogen, en zo ja wanneer dan.

Wanneer agenten uit LA een burger spreken en de gegevens op een “field interview” kaarten noteren zouden ze ook om socialmedia-accounts en e-mailadres moeten vragen, zo blijkt uit instructies van het politiekorps. De via de kaarten verkregen informatie gaat in een systeem van het bedrijf Palantir, dat informatie uit allerlei bronnen samenvoegt voor analyses. Dat is natuurlijk saillant, Palantir is een dubieus bedrijf en ligt ook in Nederland onder vuur.

Maar laten we even een stapje terug doen. Stel de data gaat alleen politiesystemen in, en wordt niet gedeeld met vage particuliere clubs van derden. Zou het dan wel mogen? Het doel van field interviews in LA is gestructureerd noteren wat een getuige verklaarde, inclusief data zodat je die getuige kunt terugvinden voor bijvoorbeeld vervolgvragen. De social media gegevens kun je gebruiken voor dergelijk contact, en je kunt ook dingen correleren: tegen mij zegt hij A, op Twitter roept hij net B, dat is raar. Of: hij zegt de verdachte niet te kennen maar is op Instagram vriendjes met haar, daar ga ik eens nader achteraan.

In Nederland ken ik zulke formulieren niet. In de meeste gevallen is het ook niet relevant wat je op social media doet, tenzij hetgeen waar je over getuigt natuurlijk direct daarmee te maken heeft. En dan is het weer niet gek dat de agent vraagt onder welk account je online bent, zodat men zelf kan zien wat er gezegd of gedaan is of verder kan rechercheren.

Een stap verder gaat het inzien van een account. Dat kun je in Nederland niet eisen van een getuige, dat deze privéberichten of toegang tot het account verschaft. Daarvoor zal een bevel van de rechter-commissaris nodig zijn. Maar ik kan me dan ook weer niet veel situaties voorstellen waarin je die informatie vraagt bij een getuige, in plaats van vordert bij de informatiedienstverlener als deel van een lopend onderzoek.

Arnoud

De Nederlandse politie wil foto’s van kentekencamera’s, waar bestuurders zichtbaar op zijn, gebruiken als er ernstige verdenkingen zijn, las ik bij Tweakers. Men hoopt op méér ruimte van de wetgever, want juist door de strenge wet wordt meer privacy geschonden dan nodig is. Denk aan een gewapende overval, moord of doodslag, of een dodelijke aanrijding waarbij… Lees verder

Het Nederlandse Bureau Krediet Registratie krijgt een boete van 830.000 euro omdat het geld vroeg aan mensen om versneld hun eigen dossiers in te zien. Dat meldde Tweakers maandag. Voor gratis inzage moest je vier weken wachten en een kopie identiteitsbewijs opsturen. Wie betaalde, kreeg direct toegang en wel elektronisch. Dat laatste maakt natuurlijk het… Lees verder

Wat moet je doen als iemand inzage eist in emails die jij in je archief hebt? Met die vraag zag de rechter zich recent geconfronteerd in een zaak tussen zo te lezen een student (of medewerker) en een universiteit. De eerste wilde inzage in emails over hem, de organisatie weigerde dat voor een groot deel…. Lees verder

Politiekorpsen in de VS die van buurtbewoners video’s ontvangen van slimme deurbel Ring mogen dat beeldmateriaal eeuwig bewaren en onbeperkt delen met bijvoorbeeld andere korpsen of overheidsinstanties. Dat las ik bij Tweakers. Het vervolgt eerdere berichten dat Ring in de afgelopen jaren samenwerkingsovereenkomsten heeft gesloten met vierhonderd korpsen in de VS, die zo toegang krijgen… Lees verder

De Kamer van Koophandel stopt met het op grote schaal verkopen van kant-en-klare bestanden met adressen, las ik bij de NOS. Dit na aandringen van de Autoriteit Persoonsgegevens, omdat dergelijke handel in persoonsgegevens in strijd is met de AVG. De Kamer van Koophandel biedt al sinds jaar en dag bestanden aan met contactgegevens van ondernemers,… Lees verder

Boos bericht bij Techdirt: in Roemenië wordt misbruik van de AVG (GDPR) gemaakt om een journalistencollectief de mond te snoeren, en dat is een probleem van de AVG want zonder AVG had dit niet gekund. Of zoiets. Het leest als een stuk flamebait, maar ik kan de boosheid van de journalist wel begrijpen want de… Lees verder

Een lezer vroeg me: Als een klant gebruik maakt van het inzage- en/of dataportabiliteit recht, mag je daar dan een vergoeding voor vragen? En zo ja, hoe hoog zou een dergelijke vergoeding mogen zijn? Onder de AVG is die vraag in theorie heel kort: Nee, dat mag niet. Dit moet allemaal kosteloos gebeuren (artikel 12… Lees verder